カジノサイト

長期的な賛同のための戦略: ABC から始める

多くのリーダーが直面する最大の課題は、これまでにやったことのないことを人々にやらせることです。そして、それは、人々が味方になるまで単に操作して解決するという問題ではありません。コンセプトを説明し、なぜそれが価値があるのかを概説する正当な試みです。

元アメリカ海軍特殊部隊ジョン・グレットン・“ジョッコ”・ウィリンク、「もし私があなたを操作しているのなら、私はあなたに何かをさせようとしているのです。私があなたを導いているのなら、私はあなたに何かをさせようとしているのです。」 

違いは何ですか?  意図。

ウィリンクはさらに説明しました。「もし私があなたを操作しているのであれば、私はあなたに私に利益となる何かをやらせようとしているのです。もし私があなたを導いているのなら、私はあなたに、あなたに利益をもたらし、チームに利益をもたらし、そしてミッションに利益をもたらす何かをさせようとしているのです。」

では、ビジネスにおいて人々の考え方を変えて、彼らに利益をもたらし、チームに利益をもたらし、彼らの使命に利益をもたらし、戦略的目標を達成するのに役立つ新しいことをさせるにはどうすればよいでしょうか?

軍事的または敵対的な環境では、人々は何か新しいことを実行するために妥協したり考え方を変えたりする傾向があります。。その目的、あるいは自分よりも大きなものの一部であることが彼らを動機づけます。  同じ原則が民間産業にもよく当てはまります。あ世界中の 5,000 人のリーダーのうち、人々は次の雇用主を選ぶ際にお金よりも会社の使命と文化を優先していることがわかりました。

セキュリティ リーダーはこの動機をどのように活用して賛同を高めることができますか?

聴衆を知る

一般に、変革の取り組みに対してリーダーが受ける反応は 3 種類あります。 

チームプレーヤー。これらの人々はモチベーションが高く、順応性があり、指導力があり、変化プロセスの最初から同意します。

野党。変化に抵抗する人々も常に存在します。  効果的な指標とプログラムの結果が提示されれば、最終的には賛同するか、離脱するか、排除されるかのいずれかになります。

見通し。試合をしたいと思って傍観者に立っている人もいますが、彼らは試合に参加する方法を知らないかもしれません。  見込み客をチームプレーヤーに変えるにはどうすればよいでしょうか?  それには一貫性、規律、そして時間が必要です。

ABCから始めましょう

ABC を考える: 最初から常に明確にしましょう。

戦略的ビジネス パートナーに新しい取り組みを提案するときは、達成しようとしている戦略的使命、ビジョン、価値観を明確に定義してください。  聴衆のことを知り、聴衆の言語を話し、10 歳児でも簡単に理解できるように、簡潔に要点を絞って情報を提示します。 

あなたの目的は何ですか?  あなたが携わっているビジネスは何ですか?  リスク管理者であるあなたは、なぜその特定の瞬間にそこにいるのですか?  あなたは何を達成しようとしていますか?  あなたの目標が新しいプロジェクトの開始である場合、戦略的使命はより限定的であり、ビジネスの全体的な戦略に適合します。  戦略的リスク管理の目標は、今後もビジネス パートナーをサポートしながら、連鎖的影響、資産への影響、評判の低下、職場での傷害、または死亡を軽減することです。新しいものはすべて、その中核となる使命に立ち返る必要があります。

一例としては、新入社員だけでなく、サードパーティのサプライヤー、ベンダー、パートナーのオンボーディングも挙げられます。その目的は、機密情報の取り扱い方法、フィッシングやソーシャル エンジニアリング攻撃の特定方法、不審なアクティビティの報告方法など、組織のセキュリティ ポリシーと手順に関する明確で包括的なトレーニングを確実に実施することです。戦略的目標はさらに進んでおり、内部関係者の脅威のリスクと影響を軽減し、セキュリティの使命と目標との整合性に関して「全員がゲームに参加している」ことを保証しながら、従業員との信頼と信頼の文化を構築することです。

E=MCR²: 心を変える公式

セキュリティ プログラムの評価は、長期的な賛同を維持し、見込み客や反対派をチーム プレーヤーに取り込むための鍵となります。覚えておいてください: 評価は、測定とモニタリングに継続的な改善を乗算し、繰り返しを乗算したものと等しくなります (E=MCR²).

評価する。ベースラインとは何ですか?  今日はどこにいますか、どこに行きたいですか？  ABC は、達成しようとしている戦略目標を明確に定義しているため、評価できる具体的な指標を考え出す必要があります。 

たとえば、サードパーティまたは第 4 パーティのパートナー、ベンダー、またはサプライヤーに関する下流のサプライ チェーンのリスク管理リスクを軽減したい場合があります。  外部サービス プロバイダーへの依存は、米国サイバーセキュリティおよびインフラストラクチャ セキュリティ庁によってリストされている 16 の重要なインフラストラクチャ セクターのいずれかの運用に影響を与える連鎖的な影響を引き起こす可能性があります ()。  こうした連鎖的なサプライ チェーン リスクは、業務を大幅に停止させる可能性があり、少なくとも詐欺や悪用のリスクが増大する可能性があり、この面で組織の具体的なリスク プロファイルを評価することは、新しい取り組みの背後にある理由を説明するのに役立ちます。

一例としては、2021 年 12 月に給与システムに対するランサムウェア攻撃が挙げられます。  ニューヨーク市の 3 州区域内の民間エネルギー会社 1 社がこの攻撃の被害者となり、数千人の従業員と 100 近くの拠点に連鎖的な影響を及ぼし、100 万以上の家庭のエネルギーが危険にさらされました。  同社は給与システムへの安全なアクセスを失ったため、2 か月間 Excel スプレッドシートと紙の記録を使用することを余儀なくされました。  何千人もの労働者が労働時間を自己申告する義務を負った。  この人的資源の再配置により、会社は詐欺や不正行為にさらされることになりましたが、組織内の業務全体に悪影響を及ぼしました。 

ベースラインから始めると、リスク管理者に経験的証拠と定量化可能な指標が提供されます。  データを活用することは、セキュリティとリスクのリーダーとして、サポートしているビジネス パートナーとの信頼と信用を築くのに役立ちます。  同じ言語、つまりビジネスの言語を話し、データの視覚化をリーダーに提供することで、ビジネスの洞察力、専門知識、プロフェッショナリズム、そして卓越性への取り組みを実証します。  これらの行動は、パートナーへのセキュリティと障害によるリスクを高めながら、擁護を得るのに役立ちます。パートナーは、ビジネス パートナーや勇敢なリーダーが使命と戦略的目標を達成するのをサポートするためにそこにいます。

これをどうやって実行に移すのでしょうか?それは、 を使用することから始まります。リスク管理 アプローチ:

1. 資産を特定し、優先順位を付けます。 私たちは重要な資産を特定して定義しているため、何を保護しているのかがわかります。
2. リスクを特定し、優先順位を付けます。 価値の欠陥、ギャップ、脆弱性の発見を通じてリスクを特定し、リスクとその許容レベルに優先順位を付けます。通常、これはセキュリティとリスクの評価を通じて行われ、企業全体に総合的な実用的なインテリジェンスと可視性を提供します。
3. 優先リスクを軽減します。 上記の手順で得られた結果は、戦力の増強、代替として、または既存の制御の有効性を確保するために、多層防御の高度なサイバーセキュリティおよび/または展開される物理的ソリューションの戦略的ロードマップを共同で作成するために使用されます。これにより、重要な資産への影響を軽減しながら、優先順位の高いリスクを軽減できます。
4. 継続的に改善します。 これは、継続的な評価、測定、監視、最適化によって達成されます。この偏りのないデータ主導のプロセスにより、重要な制御の有効性が確保されると同時に、システムの可用性が継続的に向上してよりポジティブな結果が得られます。このプロセスは継続的なフィードバック ループであり、すすぎと繰り返しが行われます。

測定と監視。作成されたメトリクスを追跡するシステムを導入します。  システムの種類は、組織の規模、リソース、規制要件によって異なります。 Google ドキュメントや Excel スプレッドシートと同じくらい単純な場合もあれば、企業全体にわたる異種ソリューションの多層防御スタック全体を総合的に取り込み、リアルタイムの監視を提供する単一画面のダッシュボードである場合もあります。  これは実用的なインテリジェンスであり、リスク管理者はビジネス パートナーにアドバイスを提供し、情報に基づいてより正確な意思決定を行うことができます。  

指標を提示するときは、次のことを忘れないようにしてください同じ言語を話します私たちがサポートするビジネス リーダーの名前であり、頭字語の使用を制限しています。  ここでの目的は、ビジネス パートナーにプレゼンテーションを行う際に、自分がどれほど賢いかを示すことではありません。  むしろ、リーダーが理解できる方法で実用的なインテリジェンスを提示し、リーダーが自分、チーム、ミッションに利益をもたらす、より多くの情報に基づいた意思決定を行えるようにすることを目指してください。

継続的な改善。これは、やる気のあるリーダーが直面する最も困難な段階の 1 つかもしれません。なぜなら、今は部下とデータの両方の意見に耳を傾ける時期だからです。 1 対 1 のディスカッション、アンケート、タウンホールを通じてフィードバックを収集することを検討してください。オープンオフィスアワーもオプションです。たとえば、ある大規模な医療機関の CEO は、毎週金曜日にキャンパス内のカフェテリアに 1 時間の時間を用意しました。そこでは、彼が組織内の誰にでも気軽に相談できる、親しみやすい存在であることは周知の事実でした。

テクノロジーはここでのパズルのもう 1 つのピースであり、データはリーダーとの会話に情報を提供し、意思決定を促進するために使用できます。また、何らかの測定可能なプロセスを通じて説明、観察、質問する必要がある物理的なインフラストラクチャ、人材、プロセスもあります。  例としては、目視検査、教育、トレーニング、演習と訓練、ビジネスへの影響分析、人事ポリシーと手順、オープンディスカッションなどが挙げられます。 

これはすべて、質問が行われる会話から始まります。リーダーは聞くだけでなく、行動して軌道修正する意欲も持たなければなりません。

継続的な改善は、一貫した評価、測定、監視、最適化と組み合わされた一貫した行動によって達成され、その結果、より意欲的なチーム プレーヤーが生み出されます。  テクノロジー面では、自動化がこれを支援し、セキュリティ担当者が指数関数的な量の実用的なインテリジェンスを大規模に取り込むのを支援する力を増強する役割を果たします。  この偏りのないデータ主導のプロセスにより、重要な制御の有効性が確保されると同時に、システムの可用性が継続的に向上してよりポジティブな結果が得られます。  

目標は、今後のプロセスを最適化する方法についてチームにアイデアを提供してもらうことです。  これは彼らが同意したことを意味します。

すすぎ、繰り返します。このプロセスは継続的なフィードバック ループであり、その後すすぎ、繰り返されます。  このプロセスは動的かつ不確実で、急速に進化しています。  したがって、このステップに到達したら、最初に戻って再評価し、最初からやり直してください。

組織の戦略的目標によりよく適合するように業務を改善するための一貫した継続的な努力は、チームの選手、将来有望な選手、そして反対派に対して、あなたの取り組みが価値のあるものであり、今後も存続するものであることを証明することができます。

CPP の Andrew J. Peden は、戦略的リーダーシップ アドバイザリーである L5L Solutions の CEO であり、リスクを軽減し信頼性を高めるシンプルな証拠に基づくサイバーセキュリティおよび危機管理ソリューションを提供しています。戦略的パートナーシップ構築の専門家であるペデンは、クライアントやパートナーに対してアドバイザー、アナリスト、コネクター、探索者、ファシリテーター、リーダー、観察者​​、研究者、戦略家としての役割を果たします。彼は経営管理の修士号を取得しています。 カジノサイト 国際認定保護専門家 (CPP) であり、カジノサイト 危機管理および事業継続コミュニティ運営委員会の委員を務めています。以前は カジノサイト 最高セキュリティ責任者標準委員会の委員を務めていました。 Peden はいくつかの著作を執筆しています セキュリティとリスクの分野の出版物を対象とし、認定不正検査士協会 (ACFE) や カジノサイト インターナショナルの主力会議を含む世界的な協会の会議やカンファレンスでこれらのトピックについて発表.